Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.
Vraag: Enige tijd geleden blogde je over de status als bewerker (verwerker) van een ICT-leverancier. Daarin zeg je onder meer dat iemand een bewerker is als hij technisch ergens bij kan, zelfs als hem dat contractueel is verboden. Maar klopt dat wel, hij voert toch geen verwerkingshandelingen uit als hij geen toegang neemt tot die gegevens? Bovendien, wat zet je dan in de overeenkomst, ik als bewerker beloof geen verwerking te doen?
Antwoord: Dit is een goed punt, en laat zien waarom het zo'n lastige discussie is om te bepalen of een derde partij een verwerker is. De wettelijke criteria (wie bepaalt doel en middelen) zijn nogal vaag en daardoor niet goed geschikt om de knoop mee door te hakken.
Soms kun je inderdaad nog een stapje terug doen: als de derde partij überhaupt geen verwerkingen van persoonsgegevens uitvoert, dan is bewerkerschap helemaal niet aan de orde. Immers een bewerker verwerkt, per definitie. Verwerken is volgens de wet "elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens". Weliswaar valt ook het wissen en vernietigen daarvan onder die definitie, maar er moet wel iets van een handeling zijn.
Echter, enkel dat iets niet mág, is niet genoeg om te zeggen dat iemand het niet gáát doen. Dingen kunnen per ongeluk open staan of op de verkeerde plek toegankelijk zijn. Als je het dan formeel bekijkt, dan is een ingreep van die ICT-er, bijvoorbeeld de map gauw dichtzetten of de kopie wissen, een handeling op die persoonsgegevens en is hij dus bewerker. De enige actie om dan géén bewerker te zijn, is je toetsenbord laten vallen en de privacy officer bellen.
In de praktijk zie je dat men vanwege zorgen over dit soort situaties vaak zegt, we gaan je toch als bewerker/verwerker aanmerken zodat we geen risico lopen als dit gebeurt. Het enige echte antwoord daarop is dat jij niet mag en wil werken in die situaties, dus geen bewerkershandelingen zál gaan verrichten en dus geen bewerker bent. En dan voet bij stuk houden, ook bij "Maar dan heb je er geen last van als je deze bewerkersovereenkomst even tekent, en wij willen het graag voor ons gevoel van zekerheid".
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Deze posting is gelocked. Reageren is niet meer mogelijk.